node.js - 我是否使用刷新令牌?
问题描述
我有一个没有用户帐户的应用程序,因此不需要登录。我目前正在通过/get-token
我的 api 中的一个端点使用 JWT 进行身份验证,该端点在 UI 启动后立即调用并返回一个承载令牌,该令牌用于向前调用的调用/
当那个令牌过期时,我对如何处理它有点困惑。我在考虑使用刷新令牌,但我看到的所有教程都将刷新令牌传递回 UI,这不是不安全吗?我一直认为刷新令牌是内部的,并且仅在服务器上用于刷新过期令牌。
处理这个问题的最佳方法是什么?
解决方案
刷新令牌携带获取新访问令牌所需的信息。换句话说,每当需要访问令牌来访问特定资源时,客户端都可以使用刷新令牌来获取由身份验证服务器颁发的新访问令牌。常见用例包括在旧访问令牌过期后获取新访问令牌,或首次访问新资源。刷新令牌也可以过期,但寿命相当长。刷新令牌通常受到严格的存储要求,以确保它们不被泄露。它们也可以被授权服务器列入黑名单。
推荐阅读
- scala - Spark 带替换采样法的原理是什么?
- php - 如何查看调用我的网站页面 PHP 的来源
- python - 为我的 Django 应用程序创建一个 Debian 包
- javascript - 如何使用烧瓶和 ajax 将磁盘上的 zip 文件发送到客户端?
- eclipse-che - 如何使用补丁更新 Theia 映像以避免升级 Theia 版本?
- eos - hello.cpp 无法在 eosio 中编译
- tensorflow - 如何禁用 TensorFlow 的急切执行?
- python - 应用程序的性能和轻便性:导入整个库还是只导入必要的模块?
- java - JAX RS 下载 PDF
- d3.js - 带文字的 D3 JS 圆圈